Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的更细化访问权限,并防止对其他资源进行不必要的访问。本页面介绍了 Cloud SQL IAM 角色和权限。如需详细了解 Google Cloud IAM,请参阅 IAM 文档。
Cloud SQL 提供了一组预定义角色,旨在帮助您控制对 Cloud SQL 资源的访问权限。如果预定义角色未提供您所需的权限集,您还可以创建自己的自定义角色。此外,旧版基本角色(Editor、Viewer、Owner)仍可供您使用,但这些角色提供的控制不如 Cloud SQL 角色那样精细。具体而言,基本角色提供的是对整个 Google Cloud 资源的访问权限,而不仅仅是对 Cloud SQL 的访问权限。如需详细了解基本角色,请参阅基本角色。
您可以在资源层次结构中的任一层级设置 IAM 政策:组织层级、文件夹层级、项目级层或资源层级。资源会继承其所有父级资源的政策。
适用于 Cloud SQL 的 IAM 参考文档
- Google Cloud Console 中常见任务所需的权限。
gcloud sql
命令所需的权限。- Cloud SQL Admin API 方法所需的权限。
- 预定义 Cloud SQL IAM 角色。
- 权限及其对应的角色。
- 自定义角色。
IAM 条件简介
Cloud SQL 还支持 IAM Conditions,它可以在个别 Cloud SQL 资源级层(例如项目中的实例和备份)上细化角色和权限。您可以将条件添加为 IAM 政策绑定的特性,以指定成员可以访问的实例子集。
IAM Conditions 允许您根据多个特性授予角色。例如,您可以只允许在特定日期和时间访问,或仅授予对特定名称的 Cloud SQL 资源的访问权限。
详细了解搭配 Cloud SQL 使用 IAM Conditions,包括示例。
如需详细了解 IAM Conditions,请参阅 IAM Conditions 概览页面。